jeudi 30 juin 2011

Infos en vrac : Corée du Sud et Racines DNS

Les forces armées sud-coréennes ont développé un programme d'enseignement de lutte informatique pour leurs officiers. Ceux-ci seront formés aux techniques de la LIO/LID dans une université coréenne avec laquelle un partenariat a été établi. Cette nouvelle école de "cyber-défense" devrait accueillir, dès 2012, environ 30 étudiants par promotion pour un cycle de 4 ans. Les officiers ainsi formés devraient alors servir pendant 7 ans.

Cette annonce qui constitue une réponse de la Corée du Sud aux attaques informatiques dont elle a été victime ces dernières années est aussi dirigée vers la Corée du Nord, suspect classique de toutes les attaques que la Corée du Sud peut subir. Notons cependant que la Corée du Nord, très souvent accusée d'avoir des compétences affirmées en matière de lutte informatique, ne semble présenter aucune des quelconques infrastructures permettant de l'affirmer. On se demande souvent si il n'y a pas beaucoup de fantasme.

A noter également une attaque sur les serveurs racines du système DNS hier notamment. Une analyse intéressante a été faite par M. Bortzmeyer. Il y explicite notamment les aspects ciblés de l'attaque mais également le fait que la racine DNS est une cible symbolique pour les concepteurs et détenteurs de BotNet.

En effet, il semble que les attaques vraiment importantes sur le DNS ont été rares, notamment depuis 2007. En effet, si le DNS ne fonctionnait vraiment plus (ce qui demeure un peu plus complexe que de saturer la racine), les criminels aussi seraient ennuyés : ce serait un peu se couper l'herbe sous le pied.

Cependant, la critère de disponibilité du DNS demeure une variable très importante et c'est pourquoi attaquer, et réussir à impacter le DNS possède une certaine charge symbolique et mesurable. Cette infrastructure peut donc devenir facilement une cible afin de "montrer ses muscles" et les capacités de son BotNet.

Sources :

http://www.infowar-monitor.net/2011/06/south-korea-opens-cyber-war-school/

http://www.timeslive.co.za/scitech/2011/06/29/south-korea-opens-cyber-war-school

lundi 27 juin 2011

Résumé du Colloque "Droit et Cyberguerre" - PARTIE 2

Suite au résumé de la première partie, je vous propose de découvrir la suite du colloque. Une troisième conférence réunissait autour de M. Stanislas de Maupéou, M. Daniel Ventre chercheur au CNRS spécialisé sur les questions de conflictualité dans le cyberespace et M. Daviot, travaillant pour l'ANSSI.

Cette première table ronde de l'après-midi a été marqué par des échanges assez vifs et en dehors du domaine juridique. M. Ventre a pu ainsi faire un panorama des cyberattaques. Rappelant que le concept de "cyberguerre" est tout sauf ancré dans une réalité claire, il en a montré la genèse que l'on doit notamment à des penseurs/stratèges américains de la
RAND Corporation.

Il a également exposé quelques considérations sur la nature du cyberespace, profondément transverse, empruntant parfois quelques caractéristiques à ce milieu, du fait également de son ancrage physique.

Incitant à dépasser le fantasme, il a également proposé une vision de l'action de l'État dans le cyberespace en 4 types d'actions :

- définition d'une attitude politique : victimisation, posture agressive, coopération...
- interprétation du droit afin d'inscrire leurs actions dans un contexte juridique incontestable que ce soit en droit interne ou droit international
- arsenalisation du cyber : création "d'armes", créations d'unités, mise en place de capacités avec les doctrines afférentes
- éventuellement coopération...

Sur les définitions des acteurs et sur les différentes approches de la nature du cyberespace, je vous conseille l
e dernier ouvrage de M. Ventre qui propose des synthèses intéressantes, parfois étonnantes de tout cela.

De son côté, M. Daviot a rappelé que la France disposait d'une stratégie dédiée au cyberespace qui datait du Livre Blanc sur la Défense et la Sécurité Nationale de 2008 mais comprenait également une partie non diffusée.

Il a également évoqué un vrai besoin de revenir aux sources, notamment technique, ce qui permet souvent de comprendre pourquoi il n'est pas possible de "plaquer" certains concepts comme la dissuasion.

Par ailleurs, il a rappelé que la dissuasion nucléaire est née également d'une vraie maitrise de l'arme atomique, ce qui ne parait pas encore être le cas en matière "cyber"...Une affaire à suivre donc !

La dernière table-ronde était constituée de 3 personnes : Me Itéanu, éminent juriste spécialisé dans les questions de droits des technologies de l'information et impliqué depuis longtemps dans la "gouvernance internet", et deux professionnels de la diplomatie M. Tecourt et M. Clouvel.

Me Itéanu s'est intéressé en particulier aux questions de liberté de communication sur Internet et aux phénomènes complexes de la Gouvernance. A propos de la communication sur Internet, les enjeux sont particulièrement actuels avec les mouvements de protestation intenses que connaissent certains pays et le rôle que peut y jouer Internet. Il cite également un rapport intéressant de l'ONU, du 6 Juin 2011, traitant de la "cyberpaix" et demandant à ce que l'accès Internet soit assimilé à une liberté fondamentale. Cela illustre donc les autres pans du droit qui peut interagir avec les conflits concernant le cyberespace.

On doit ensuite à M. Clouvel quelques illustrations très fortes du caractère adaptable du droit international :

-
La clause de Martens qui pose un principe fondamental et assez extraordinaire qui veut qu'en matière de droit de la guerre et pour tout ce qui n'a pas été découvert à l'heure de la rédaction, l'on doive appliquer la protection du Droit International Humanitaire.

- Ce droit ne serait modifiable (on parle bien des principes), selon lui, que sous 3 conditions fortes : un vide juridique avéré, l'absence de normes équivalents et le cas d'un problème profond d'application du droit à certaines personnes/groupuscules notamment en cas de conflits armés non internationaux.

En bref et pour rendre hommage à la concision de l'exposé de M. Clouvel, on retiendra deux éléments clés :

- le droit international public, le droit de la guerre possède les atouts et les principes permettant de répondre aux cyberconflits.

- il existe bien évidemment un espace d'incertitude dû à l'incompréhension partielle de ce domaine (cf. les propos de M. Daviot) qui nécessite une coopération entre techniciens et juristes. Cet espace d'adaptation n'a pas pour autant vocation à créer un "traité" sur la cyberguerre, au contraire, cela pourrait être nocif : on pourrait y perdre les avantages comme l'ouverture, l'innovation du fait d'une trop importante surveillance/militarisation du cyberespace.

Suite à cela, l'exposé de M. Tecourt a eu la difficile tâche d'être le dernier présenté. Son propos s'inscrit dans la continuité de celui de M. Clouvel en proposant d'examiner justement cet espace d'évolution des outils juridiques dédiés au cyberespace.

Son propos est ainsi de montrer pourquoi un traité sur la cyberguerre serait sans doute impossible et contre-productif, pourquoi un traité sur le cyberespace ne serait pas atteignable et enfin, que la production d'un "code de conduite" pourrait être la voie suivie.

Ainsi, ils rappellent toutes les menées internationales autour de ces questions qui impactent considérablement la possibilité de trouver un accord globale :

=> Autour de l'ICANN : on voudrait plus d'international mais jamais les USA ne le voudront

=> Le faible taux de ratification de la convention sur la cybercriminalité serait imputable à la Russie très peu satisfait d'un article sur la libre circulation des données qu'ils assimilent à de l'espionnage légalisé. En conséquence, la Russie aurait mobilisé les pays en développement contre ce texte.

=> la Chine inclut le contrôle de l'information dans la "sécurité de l'information". Le dilemme "liberté-sécurité" n'est pas un problème pour eux, cela reste délicat pour réguler en commun.

=>
Rappelons aussi les multiples actions russes en matière de protection de l'information menées à l'ONU. Par ailleurs, l'actuel Secrétaire Général de l'IUT dont on connait l'appétit pour la Gouvernance Internet se serait, quelque part, fait un peu le porte-parole du pays...

=> Anecdote : les Russes n'utiliseraient jamais le terme "cyber" soi-disant à cause de l'absence du terme dans leur langue, ce qui est partiellement vrai car ils peuvent, dans un cadre privé, le faire. Ce point serait symptomatique d'une certaine vision du Net que le pays chercherait à imposer...

Tous ces éléments de divergence permettent donc à l'orateur de conclure sur l'impossibilité, à court terme au moins, d'un traité portant sur ces sujets. Pour autant, il n'est pas impossible, et cela semble tant nécessaire qu'une idée se propageant, qu'un code de conduite puisse apporter. L'objectif serait la rédaction et l'acceptation internationale de contraintes de comportements politiques par les États afin d'éviter des dérapages...

Pour résumer ce colloque, et malgré des divergences, je pourrai proposer 4 points :

=> N'oublions jamais la technique et les experts techniques. Pour éviter le fantasme, il faut coopérer entre les domaines...

=> le droit des conflits armés n'est pas toujours le bon référentiel car il suppose pas mal d'hypothèses sur lesquelles il plane toujours trop de doute : situation d'attaque armée etc. etc.

=> le droits international, de manière plus générale, semble pouvoir répondre de manière positive, au moins dans les principes, aux problématiques spécifiques posées par les conflits dans le cyberespace.

=> il subsiste un espace d'ajustement qui pourrait, au niveau international, prendre la forme d'un code de conduite.

En guise de conclusion, on retiendra la phrase de Prévert proposée par le Professeur DUBUISSON, concluant le colloque : " La nouveauté, c'est vieux comme le monde"...et nous sommes toujours aussi démunis devant.

vendredi 24 juin 2011

Résumé du Colloque "Droit et Cyberguerre" - PARTIE 1

Le 16 Juin dernier s'est déroulé à l'École Militaire sous la présidence de l'IRSEM en partenariat avec l'IDEST, un colloque portant sur les aspects juridiques de la cyberguerre. L'objectif de cette journée d'étude était, à mon sens, double :

1) rappeler l'ensemble des règles de droit pouvant être appliqué au cyberespace, en situation de conflits ou non d'ailleurs.

2) Déterminer si, de ces règles, toutes sont applicables à un cas spécifique de "cyberguerre", c'est à dire un affrontement inter-étatique clair se déroulant en partie dans le cyberespace.

Notons tout d'abord une bonne initiative de l'IRSEM qui a souhaité inviter un expert technique de très grande qualité, M. Naccache. Celui-ci nous a simplement montré le cheminement et les résultats d'un pratique d'un audit type "pentest"...avec des résultats époustouflants. Même si je crains que certains n'aient été un peu perdus avec le buffler overflow sui generis (il nous avoue avoir découvert un 0-day), sa présentation a eu le mérite de montrer :

- le chemin très détourné d'une attaque

- les principes classiques de ce que l'on appelle souvent APT -Advanced Persistent Threat (à prendre avec précaution).

- les résultats assez époustouflants..

M. Naccache ayant remise en place les idées de tout un chacun afin d'éviter les débordements verbeux, il était désormais temps de s'attaquer à la phase juridique de la question.

Après cela, de nombreuses conférences étaient intéressantes et je ne pourrai parler de toutes. Je pense me restreindre ainsi à ce que j'ai appris des liens entre droit/cyberespace et cyberconflits.

=> L'exposé de M. Achilleas nous a ainsi instruit de la diversité des droits et principes s'appliquant au cyberespace. Je vous propose de découvrir un principe et ses évocations :

- Liberté de communication : Déclaration Universelle des Droits de l'Homme, Pacte International relatif aux droits civils et politiques, Convention Européenne des Droits de l'Homme

- Droit des Télécommunications : Essentiellement le corpus juridique que l'on doit à l'IUT(convention (92), constitution (92), règlement des radiocommunications (2007) : protection des infrastructures internationales de télécommunications)..

Parfois, on trouve aussi des associations relatives au Droit de la Mer ou de l'Espace notamment à cause des infrastructures de télécommunications utilisées (satellites et fibres) :

- Droit de la Mer : Convention de Montego Bay
- Droit de l'Espace : Traité de l’espace (1967) Convention sur la responsabilité (1972) et l’immatriculation (1974). On y retrouve des principes de non-agression, de responsabilité de l'état et de non-interférence.

Enfin, on se souviendra aussi que le Droit International Public interdit, par un ensemble de convention, l'usage des moyens de radio-diffusion pour la propagande de guerre et subversive...

Tout cela nous enseigne notamment qu'il existe un corpus juridique large, complexe proposant des principes clairs dont certains sont directement applicables au cyberespace.

Les points précédents sont relatifs à des domaines du droit publics, internationaux et spécifiques. Il existe également toute une branche du droit dédiée à la guerre : entrer en guerre ? se comporter en temps de guerre ? protéger les civils ?

Parfois appelé DCA, Droit des Conflits Armés, ce droit pose plusieurs principes et questions. Par exemple, un affrontement dans le cyber peut-il être un conflit armé ? Certaines répondent que non. En la matière, l'exposé du Pr. Norodom est intéressant et fournit matière à réflexion.

Elle rappelle tout d'abord les principes :

- le recours à la force entre Etat est en principe interdit. Il existe également des mesures dites de rétorsion de nature non-militaire (embargo...)

- il existe des exceptions que l'on interprète strictement : la légitime défense et l'action dans le cadre de l'ONU

- un principe de proportionnalité doit être respecté.

Tout cela dit, il subsiste un problème d'identification classique pour tous les experts technique qui savent bien qu'identifier l'auteur d'une attaque de manière indubitable reste très délicat. Pour répondre à cette question, il existe plusieurs théories, imparfaites, que l'on peut optimiser dans le cadre d'une théorie dite "intégrale" qui a été présentée.

L'objet de cette théorie est de poser plusieurs questions qui permettent d'aiguiller la réponse de l'État : quelles sont les cibles visées ? Quelle sont les natures des attaques ? Quels sont les attaquants identifiés en premier lieu ?

Partant de cette théorie, il nous est proposé une matrice de réaction (cf. les actes) dont le principal intérêt est bien de montrer qu'il existe très peu de cas où un ensemble d'attaque informatique présente toutes les caractéristiques d'un conflit armé susceptible d'initier une riposte dans le cadre présenté ci-dessus. La majorité des cas se satisferont d'autres types de réponses incluant le droit interne, les relations diplomatiques...

Un second intervenant, M. Kolanowski du CICR fournit également des éléments intéressants en affirmant qu'au final, le Droit Humanitaire qui protège les civils en cas de conflits peut et doit s'appliquer...Certaines questions demeurent, comme la qualification des civils participant à des actes offensifs (les hacktivistes lors des attaques sur les systèmes estoniens ou géorgiens) -:sont-ils des combattants ? ils pourraient...

En revanche, je retiendrais une phrase - clé : "les principes du DIH (Droit International Humanitaire ) sont indépendants des moyens et méthodes du cyber" : il faut savoir distinguer les cibles et continuer à protéger les civils d'éventuels effets collatéraux trop importants.

Il demeure toutefois l'impossibilité de qualifier formellement une attaques informatique d'agression armé...De manière générale, il est vrai que les éléments étudiés ici se basent sur de nombreuses hypothèses. Les conclusions, cependant, proposent un modèle d'adaptation, et non de révolution du droit actuel.

Car, rappelons-le, il faut être prudent car la cyberguerre n'a jamais encore eu lieu et il est fort probable que les formes qui seront prises puissent être surprenantes. Je reste convaincu que certains messages sont essentiels : il est réellement inacceptable qu'un système de secours au population (type 112 ou 911) soit impacté, en particulier en période de crise. C'est ce que l'on doit comprendre d'une déclaration supposant que le DIH est indépendant des moyens et modes d'actions.

Dans une seconde partie, je proposerais mes réflexions autour des autres tables-rondes. Conscient de n'être pas exhaustif, je rappelle que des actes devraient être publiés afin de combler mes lacunes de présentation.

mercredi 22 juin 2011

Colloque "Guerre et Economie"

En bon "allié géostratégique", je fais profiter mes lecteurs de l'information suivante : la tenue d'un colloque dont l'objectif est d'explorer les liens entre Economie et Guerre.

Pour plus d'informations, c'est ICI !

Rapport Scientifique du CSFRS

Le CSFRS est une organisation, le Conseil Supérieur de la Formation et de la Recherche Stratégique, qui répond à un constat réalisé lors d'un travail d'audit conduit par M. Alain Bauer à la demande du Président de la République. Ce constat mettait en avant une certaine désorganisation de ce domaine de recherche en France et une nécessaire réorganisation.

Suite à ce rapport publié en 2008, le CSFRS a été créé en 2009 et sa présidence confiée à M. Bauer. Il a plusieurs objectifs dont celui de favoriser la recherche stratégique en pilotant des programmes et en lançant diverses initiatives. Le rapport et les récentes assises en sont un exemple.

Autre point intéressant, cette organisation est notamment pourvu d'un conseil scientifique assez intéressant. Ayant eu le privilège d'échanger avec un représentant de cette organisation, j'ai pu en avoir un aperçu et j'en ai retenu plusieurs points.

Le premier est une approche originale de la stratégique qui n'hésite pas à évoquer les sujets "cyber" par exemple mais d'autres sujets comme l'eau, la gouvernance et le pouvoir des normes, biodiversité, climat, bien-être et stratégie...bref une approche décomplexée.

Le second point est la composition, qui fait appel à des experts de qualité mais aussi réputé pour leur pensée "libre" ou originale. En matière "cyber", on retrouve ainsi des noms connus comme M. Blancher ou M. Huygues (et plein d'autres mais je ne peux citer tous le monde..qu'ils me pardonnent s'ils me lisent).

Une lecture hautement recommandée donc que je vais, comme à mon habitude, résumer en quelques poins arbitraires.

L'essentiel des aspects "cyber" est situé dans la section 4. On notera cependant un point intéressant au début du rapport qui fait mention des grandes capacités des normes et standards internationaux. Ceci est particulièrement important en matière d'Internet où les normes (RFC , W3C....) sont nombreuses et importantes. Le message est clair : les normes sont un vecteur de compétitivité et l'influence sur leur rédaction un facteur économique clair est tout à fait important.

Au sein de la section 4 en particulier, j'ai retenu :

=> un constat sans ambiguïté qui fait état d'un certain échec du modèle de sécurité en constatant que "les mécanismes de sensibilisation, de compréhension des risques, de réglementation et de contrôle ne sont aujourd’hui ni efficaces, ni compris ni appliqués". Un constat qui n'est pas sans rappeler certaines conclusions du SSTIC 2011.

=> Les protocoles sont à nouveau désignés : soit pour dénoncer le caractère dangereux d'une homogénéité trop importante de ces protocoles au sein des infrastructures critiques par exemple. A cet égard, le rapport va par exemple recommander la création de protocole réseaux sui generis adaptés au contexte particulier des OIV.

Notons tout de même que s'il est souvent dit que les protocoles d'Internet ne sont pas sécurisés, force est de constater une certaine capacité de résilience du système, même avec un passage à l'échelle...La disponibilité étant un critère important, ne peut-on considérer une certaine réussite à Internet ? Par ailleurs, n'est-ce pas plutôt le fait de demander un service particulier (confidentialité, intégrité...) sur un système non prévu pour cela qui pose problème ?

=> le rapport insiste aussi de manière importante sur la difficulté des ressources humaines. La formation est ainsi indiquée comme un point à améliorer, associé éventuellement à des notions de labellisation. Plus généralement, c'est le manque d'incitateurs et les fortes contraintes sur les praticiens ou passionnés de sécurité qui est pointé du doigt comme une perte de compétences et de capacités.

A noter ici que les USA rencontrent également des problématiques dans la ressource humaine en sécurité.

=> Point intéressant, la création d'un centre d'entraînement et de réseaux ad-hoc permettant notamment de tester des technologiques ou des systèmes de sécurité, voire des doctrines d'emploi plus offensives. Cela n'est pas sans rappeler le National Cyber Range ou l'Information Assurance Range.

Concluons ce message déjà un peu long en réaffirmant tout l'intérêt de ce rapport porteur d'une certaine parole libre associé à des propositions intéressantes et innovantes. S'il établit également des constats sans concessions et qui méritaient de connaître toute la force d'une publication officielle, il occasionne aussi beaucoup de questions (auxquelles je n'ai pas de réponse). Il ouvre ainsi la voie à d'intenses débats et c'est aussi cela, la stratégie !

Source : dans le texte

mardi 21 juin 2011

L'ICANN autorise de nouvelles extensions

L'organisation californienne chargée de la régulation des noms de domaine vient d'autoriser, lors de son sommet à Singapour, la création de nouvelles extensions concernant des entreprises, organisations ou encore des villes...

Bientôt sans doute, le ".paris" pourra être disponible ainsi que des ".google". ou encore ".unicef"...

Rappelez-vous, quelques temps plus tôt, l'ICANN autorisait également la création de l'extension "XXX" à propos de laquelle ce blog apportait quelques informations.

Si certains vont sauter de joie à cette nouvelle, prétextant la liberté du commerce ou encore la possibilité de répondre à de réels besoins, n'oublions pas quelques éléments de sécurité dont les impacts peuvent ne pas être négligeables :

=> tout d'abord, l'espace de nommage s'étend et permet donc ainsi, à tout un chacun de créer plus de noms et d'extension...y compris avec des volontés malveillantes. Plus d'extension implique plus de possibilités pour créer des noms de domaine à but frauduleux et plus de difficulté à les supprimer

=> une extension implique un registre et des bureaux d'enregistrement...Il est à craindre que la naissance de multiples nouveaux registres, dont certain avec un objectif lucratif n'occasionne de réelles difficultés dans la gestion et paralyse éventuellement le système de gouvernance. Plus d'acteurs, plus de différences, des intérêts divergents, plus de demandes...

=> Même si les acteurs doivent en théorie respecter les règles de l'ICANN, il subsiste également une marge de manoeuvre qui peut laisser dubitatif. A contrario, si un ".fr" respecte de nombreuses règles pour protéger des communes (par ex.) ou les détenteurs, rien n'indique que tous seront aussi respectueux...

=> Plus encore, on va probablement encore assister à des courses à l'achat DU domaine à très forte valeur dont le détenteur pourra revendre les droits avec un confortable bénéfice...

Bref, cette vision pessimiste ne doit pas laisser gâcher cette opportunité intéressante. Toutefois, demeure une question : où demeure la légitimité ? Quel est l'apport, pour l'usager de nouvelles extensions ?

En effet, le fait que l'ICANN décide de créer de nouvelles extensions est aussi délicat car soit Internet appartient à tous et l'ICANN n'a aucune légitimité pour en restreindre les usages. Soit, ce n'est pas le cas...mais alors qui dispose d'un tel droit ? Question complexe.

Source :

http://www.pcinpact.com/actu/news/64197-icann-extensions-generiques-entreprises-villes.htm


lundi 20 juin 2011

L'engagement militaire français en Afghanistan

De manière un peu inhabituelle pour ce blog, je fais ici le relais pour le 1er ouvrage d'une amie car il est aussi important de pousser les jeunes auteurs talentueux.

Le sujet, comme l'indique le titre, est l'engagement militaire français en Afghanistan. Celui-ci fait, malheureusement, l'objet de bien peu de publicité dans la presse nationale notamment télévisuelle et d'aussi peu d'analyses. Pire encore, certaines chaines se trompent et annoncent de fausses nouvelles...Bref, c'est aussi le désintérêt ambiant pour la situation des ces personnels engagés et risquant la vie pour notre idéal de monde et de société qui me pousse à en faire part.

Vous remarquerez qu'il n'est pas question ici de prendre parti ou de discuter la légitimité de l'engagement et tel n'est pas non plus l'objectif de cet ouvrage. Celui-ci se propose plutôt d'analyser les problématiques militaires dans leur complexité du théâtre : insurrection, affrontements au sein des populations, engagement multinational complexe...Un ensemble de facteurs dont il faut comprendre les interactions pour comprendre le sens des informations qui nous parviennent parfois brouillées.


Pour plus d'informations et pour commander l'ouvrage, c'est ICI.

samedi 18 juin 2011

Allemagne et Autriche construisent leur capacité

L'Allemagne a depuis plusieurs mois procédé à la construction d'une capacité de cyberdéfense. Une stratégie a été définie et un centre dédié aux problématiques de sécurité également.

Quelques éléments nouveaux apportent des précisions sur la construction de ce centre qui a été lancé il y quelques jours. Vraisemblablement, le Cyber-Abwehrzentrum sera localisé à Bonn dans les locaux du Département chargé des questions de sécurité de l'information.

Il est également intéressant de noter que celui-ci regroupera des membres d'origine très diverses : protection des infrastructures critiques, sécurité civile, police et militaires. Ce qui semble correspondre à la transversalité des questions de cyberdéfense.

A côté de cela, l'Autriche semble également avoir lancé une telle initiative, fort discrètement initialement mais qui aurait "fuité". A priori "armée" de 1600 soldats, la structure semble exclusivement militaire et très proche des services secrets ou de sécurité.

Source :

http://www.tomsguide.com/us/austria-cyber-crime-cyber-defense-secret-service,news-11077.html

http://www.theregister.co.uk/2011/06/16/germany_cyber_defence_to_defend_infrastructure/

vendredi 17 juin 2011

Une piqure de rappel...

A tous ceux qui lisent sans souhaiter réagir...

J'ai en effet, pu constater, avec bonheur, que mon blog était suivi par un certains nombres de gens. Parfois même, il provoque la discussion et l'échange, ce dont je suis encore plus heureux. Plus rarement, j'espère, il provoque l'ire de certains de mes lecteurs...

Voilà pourquoi, je souhaite réaffirmer mes objectifs et principes :

=> ce blog a pour objectif de partager mes lectures et découvertes, analyses et réflexions

=> ce blog a pour second objectif d'échanger et que chacun, y compris moi, puisse apprendre...

Pour ce second objectif, il est nécessaire que chacun puisse réagir et partager sa vision. Aujourd'hui, certains publient des commentaires ou me les adressent directement par mail et je les remercie.

Ce blog propose aujourd'hui de mettre des commentaires anonymes. Il existe aussi un moyen de me contacter directement. Enfin, google et autres fournissent des mails gratuits sans obligation de s'identifier.

Je vous demande donc, de ne pas hésiter à communiquer soit de manière directe (commentaires), soit de manière indirecte (mail, commentaires anonymes...) pour partager vos réflexions. De même si vous souhaitiez publier un article ou que je publie une forme de "droit de réponse"...

Car, enfin, si l'on publie, c'est aussi pour le plaisir de partager et d'apprendre de chacun...pas pour satisfaire un égo (enfin, je crois ^^)

En espérant vous lire plus nombreux...

mercredi 15 juin 2011

OTAN et Cyber Défense

Dans un précédent article, ce blog relatait la prise de décision par l'OTAN d'une nouvelle politique dédiée à la Cyber défense. Un nouveau communiqué de presse donne quelques informations supplémentaires.

Les travaux effectués au sein de l'organisation ont abouti à la création d'une nouvelle politique mais également d'un plan d'action permettant notamment d'implémenter cette politique. Le coeur de cette politique semble avoir un impact sur la sécurité collective mais pas forcément dans un sens strictement militaire puisqu'il s'agit aussi de prévention, de gestion des attaques et de capacité de récupération/reconstruction.

Au niveau de l'organisation, il semble s'agir essentiellement d'une ré-organisation alors que, au contraire, d'autres pays semblent avoir choisi la voie de la création d'entités supplémentaires. Le développement de la capacité de cyberdéfense semble être intégrée dans le processus de gestion des plans de l'OTAN.

On notera enfin la déclaration sans équivoque du secrétaire général de l'organsation : "It is no exaggeration to state that cyber attacks have become a new form of permanent, low-level warfare" ...Il faut en comprendre que les attaques informatiques sont devenus une forme d'attaque que l'on qualifie volontiers d'asymétrique en France.

Il est vrai que l'on trouve une satisfaction intellectuelle à cette classification et à cette approche car elle semble cohérente avec la pratique. Elle évacue également la question de l'identité de l'assaillant et sa nature (état, hacktiviste...). Toutefois, elle se limite également car elle ne parait pas envisager le déroulement d'opérations offensives actives de type Computer Network Operations dans le cadre de conflit pré-existant.

On pourra en lire une analyse complémentaire sur le blog ami Si-Vis.

Source :

http://www.nato.int/cps/en/natolive/news_75358.htm

mardi 14 juin 2011

Marine Cyber Command !

L'US Marine Corps est une unité "mythique" à plus d'un titre et rendu célèbre par de nombreux films. Seule entité militaire protégée par la loi, le Corps des Marines est le fer de lance des forces expéditionnaires américaines.

Dépendant du "Department of Navy" mais pas directement de la Navy, il pourrait s'apparenter, en France aux Fusiliers-Marins (qui dépendent de la Marine Nationale) ou des "Marsouins", c'est à dire les Troupes de Marine (dépendant elle de l'armée de Terre) dont les récentes missions les rapprochent plus. En France, l'histoire montre toutefois une forte parenté entre ces deux unités.

Ce billet, cependant, est consacré à l'entrée en fonctionnement de l'US Marine Cyber Command, composante "USMC" du développement de la force "cyber" aux Etats-Unis sous la houlette de l'US Cyber Command.

Des informations complémentaires nous apprennent que ce centre est en gestation depuis Juin 2010. Il sera "armé" par des membres formés à Twentynine Palms en Californie.

Parmi les activités spécifiques, l'on pourra trouver notamment le développement de capacités de communication et échange adaptés à l'infanterie et à son environnement spécifique. Le cas du "FELIN" en France illustre, pour partie, ces aspects.

Source :

http://defensesystems.com/articles/2011/06/10/naval-it-day-marine-cyber-command.aspx

http://www.federalnewsradio.com/?nid=17&sid=2418173

jeudi 9 juin 2011

Daily News ...IPv6 et OTAN

Quelques informations intéressantes aujourd'hui..

Tout d'abord, rappelons que c'est l'IPv6 Day aujourd'hui comme le rappelent nombre d'acteurs. Pour mes lecteurs les moins techniques, rappelons que le protocole IPv6 doit remplacer l'actuel protocole d'adressage IPv4 utilisé actuellement sur Internet. Pour autant, il existe de sérieuses différences entre ces protocoles nécessitant une approche contrôlée et prudente de la période de transition. Tout cela n'étant pas, bien sur, sans poser quelques questions politiques.

En particulier, les fournisseurs d'accès et de services pourront proposer leurs services en IPv6 pendant une durée de 24h. En théorie, on ne devrait observer que peu de différences dans "l'expérience Internet" de la plupart des utilisateurs. Eu égard cependant à la diversité des technologies de passerelles et d'échanges, cette journée est également l'occasion pour les fournisseurs d'accès et de services de se tester et d'obtenir des retour d'expériences probant sur les difficultés afin d'améliorer la transition définitive. Une expérience intéressante donc !

A cette nouvelle intéressante s'ajoute la publication d'une information en provenance de l'OTAN selon laquelle les Ministres de la Défense des pays membres de l'OTAN aurait validé une nouvelle politique de cyber-défense pour l'organisation dans la lignée du Concept Stratégique. Cette politique serait associée à un plan d'action permettant de démarrer les évolutions. On espère en fournir une analyse plus profonde sous peu.

Autres éléments à : http://si-vis.blogspot.com/2011/06/otan-une-nouvelle-politique-de-cyber.html

lundi 6 juin 2011

Quelques questions inutiles sur la dissuasion ?

La publication récente par les Etats-Unis d'une nouvelle doctrine dédiée au cyberespace nous conduit à quelques interrogations de natures plus conceptuelles que pratiques. En effet, l'auteur de ces lignes a tendance à penser que les Etats-Unis ont su donner un vrai contenu à la notion de "dissuasion" appliqué au cyberespace.

Notons toutefois que la notion de dissuasion demeure très connotée, en particulier avec son aspect nucléaire. Or, la dissuasion nucléaire est une solution qui présente un aspect "définitif" qui ne cadre pas avec les composantes connues de la lutte informatique. La doctrine "MAD - Mutual Assured Destruction" en fournit un exemple.

Bien sur, les doctrines nucléaires des Etats ont évolué comme le montre l'option "ultime avertissement" avant le déclenchement de frappes plus intenses.

De tout cela, l'auteur aurait tendance à conclure que l'usage de ce terme est inadapté. Pour être plus précis, l'application de la dissuasion "type nucléaire" au domaine du cyberespace est inconcevable (pour moi et pour le moment).

En revanche, proposer un ensemble de mesures dissuadant ou plutôt Intimidant un adversaire pour tenter de limiter son action me parait être le fondement de la sécurité...En effet, suite à une analyse de risque, on dispose d'une information de probabilité et d'impact. S'ensuit alors la possibilité de mettre en place diverses mesures de réduction du risque (parmi d'autres solutions) qui ont pour objectif de limiter les impacts ou la probabilité du risque.

Si le risque provient d'une intention humaine malveillante, on peut imaginer qu'un niveau de sécurité atteint par le déploiement de différentes mesures dissuade un attaquant de poursuivre son attaque. Il peut être ainsi "intimidé" par les possibilités de représailles ou encore mis en difficulté par les barrières techniques mises en place. C'est notamment l'approche développée, telle que je la comprends, par les USA et mise en valeur par Electrosphère au profit du collectif Alliance Géostratégique.

Or, si l'on observe bien la récente publication des Etats-Unis, ceux-ci réaffirment non seulement le besoin de se protéger, soi-même et entre alliés. C'est donc la partie "élévation de la sécurité".

Mais ils se proposent également d'intervenir également suite à des attaques informatiques. Et le spectre de ces interventions se veut large puisque potentiellement militaire (mais pas forcément) et usant également, au besoin, de l'ensemble des moyens à sa dispositions (c'est à dire "réel" et/ou "cyber")...

Force nous est donc de constater qu'en dépit de nombreuses critiques et échanges, les Etats-Unis ont bel et bien créé un modèle de "dissuasion" ou, d'unemanière qui me semble plus proche de la réalité, "cyber-intimidation"...

Un brin provocateur, l'auteur de ces lignes n'oublie cependant pas la "réalité" de la physionomie des attaques informatiques. Si le modèle parait, en théorie, plus viable que la "cyber-dissuasion" tel que conçu précédemment, il n'en demeure pas moins que de nombreux scénarios en rendent l'application plus complexe. A cet égard, je vous propose la lecture du récent article de M. Ventre qui en liste quelques uns.

Quelques autres sources :

http://cidris-news.blogspot.com/2011/02/les-usa-aussi.html


http://cidris-news.blogspot.com/2010/02/consecration-de-la-cyber-dissuasion-ou.html